维端网当企业信息安全全面加速进入云时代时, 云安全既是机遇, 更是一种赋能。
机遇在于,云安全通过带来安全服务模式的改变,让企业安全状态以及业务连续性得到保证。
而赋能在于,大多数企业用户倾向于选择一种适配于任何应用环境,更加智能且更合规的云安全机制,从而可靠地执行企业安全策略,以实现企业业务平稳运行。
例如,随着疫情的持续,多数企业转向通过远程方式访问应用程序和数据,“安全上云,赋能云端”,成为行业客户迫切需要的理想状态;再例如,随着中国企业出海,以及企业跨若干行业赛道做竞争,“安全合规,平滑上云”,更成为CIO们对于云安全机制的首要期待。
保护云上关键资产,管理与技术并重
在亚马逊云科技大中华区战略业务发展部总经理顾凡看来,全球企业用户正处在一个安全合规日益复杂的环境,而这一判断源自两个层面:
一是,全球已经有132个国家及地区制定了数据保护和隐私相关的法律法规,同时中国也出台了一系列如《数据安全法》、《个人信息保护法》等各种法规,其都明确要求联网产品必须进行安全涉及、安全测试、出现安全问题必须及时地反馈和处理;
另一方面,随着企业在加速上云,数据类型、数据的数量形成了决定企业生命的“关键资产”,如果没有强大合规的安全机制, 一旦遭遇威胁隐患,后果可想而知。
由此,业界也由此得出判断–当应用上云之后,云端安全治理将比底层基础设施安全更为关键,且需要迈上更高的台阶:即云上安全机制应该更加自动化;出色的数据整合为可视化管理提供用武之地;按需付费带来更灵活的成本控制;运营管理上让合规更加专业高效。
事实上,这也正对应了长久以来信息安全发展的一句经验之谈–“七分管理,三分技术”!
如今,亚马逊云科技通过云上安全合规的两大支柱,即自身的安全合规与洋葱型的多层防护,凸显“管理与技术并重”的同时,也让业界看到了其对云安全所倾入的行动。
打铁还需自身硬,自身安全合规是最佳力证
“安全不仅仅是技术的问题,也是管理的问题!亚马逊云科技的“Job Zero 安全文化”是对自身安全合规最直接的力证”。顾凡强调。
正所谓“打铁还需自身硬”,亚马逊云科技长久以来将安全作为最高优先级的工作,贯穿在亚马逊云科技整个企业当中—管理上,每一位员工都负有安全责任、每个级别的员工都有安全目标、安全合规的培训及定期定时的考试;技术上,每项服务在设计阶段都要考虑安全问题,以此实现安全标准化和一致性;在运营方面,亚马逊云科技组成了一级响应团队和二级响应团队,提供全天候响应的能力。
另一方面,亚马逊云科技所首创得安全责任共担模型,也在同步推动着亚马逊云科技自身的安全及合规建设。
其中,“协同有秩,界限分明”正是这一安全共担模型的鲜明特点:如果客户使用的是基础资源,分界线是云厂商保护云基础设施,例如虚拟机、网络存储、算力,而用户负责虚拟化之上的资源,例如操作系统、应用、数据访问、加密;如果客户在云上采用的是PaaS服务,亚马逊云科技肩负的责任会更多,如有效而稳定得开发环境;到SaaS服务的时候,客户主要负责的即是数据,以及数据的访问权限。
“安全共担模型凸显了亚马逊云科技负责底层云基础设施和所提供云服务的安全,客户则负责自身云业务安全。这样得责任共担的分界线,在IaaS、PaaS、SaaS不同的场景分界线会有所移动”。顾凡表示。
换句话说,用户拥有完全自主的权利,其中包括选用哪个区域、使用哪种服务、访问控制的授权、安全防护的手段等,客户可以根据业务的实际情况和数据的重要性来采取适当的安全合规措施。
基于此,亚马逊云科技也重点进行了三个方面的投入:一是提供更多的云安全服务,让客户在构建云中安全时所使用;二是,引入丰富的安全合作伙伴,让后者的安全方案能够为客户带来安全护航;三是总结全球全行业的最佳实践,向行业用户普及。
安全责任共担模型正是得益于亚马逊云科技的这一首创,才奠定了今天云计算安全模型的标准,使得更多的厂商遵循标准,更多的客户敢于上云。
事实上,除了首创共担模型,行业用户对于亚马逊自身安全合规的认可,还来源自于其对四个层面的重视:
对基础设施安全的重视,即亚马逊云科技对全球所有数据中心及服务都采用最高安全构建标准和控制措施,所有客户无论规模大小都可以受益于此;
对云服务安全的重视,例如亚马逊云科技安全团队深入参与新服务和新功能开发,如果存在任何已知的安全问题,新服务将不会启动。亚马逊云科技还会通过深度集成的服务,实现安全自动化,减少人工配置错误,降低风险;
重视客户数据的加密保护,亚马逊云科技坚持客户拥有和控制数据的理念,其一方面可以让客户选择任何方式加密自己的数据。同时,也帮助客户证明遵守区域数据隐私法律法规,并通过遍布全球的区域服务助力客户实现数据本地化的要求。
重视合规认证的积累,亚马逊云科技所获得的安全标准和合规性认证,几乎可满足全球所有监管机构的合规认证。目前,亚马逊云科技在全球已经获得了98项安全标准和合规认证,用户可从其中直接继承,并置于自身的安全机制中。
一个例子,作为互联网跨境电商,细刻科技正是看到了亚马逊云科技对自身安全合规建设的种种裨益,深度依托亚马逊云科技全球安全合规的基础设施及服务,开展了海外业务市场的拓展并取得了喜人的回报。目前细刻科技海外跨境B2C 网站已经覆盖了包括欧洲、美洲、中东、亚洲和澳新等主要市场区域。
在业界看来,这是出海企业敢于上云,放心用云,通过云上安全合规机制快速构建,拓展业务的成功典范。
安全与创新并肩向前,洋葱型多层防护来护航
类似细刻科技这样的例子不胜枚举,他们是安全合规机制下的受益者,同时也是追求创新与安全相互平衡,相互协同的进取者。
那么,创新与安全如何实现更加完美的融合?这一融合又需要具体哪些具体安全防护行动呢?亚马逊云科技的云安全的另一大支柱,即洋葱型的多层防护给出了答案。
在顾凡看来,企业的安全与创新这两者已不是单选题,而是同步选项。一套强有力且能够平衡安全与创新的机制需要做到安全理念与安全防护完美兼备,方能让客户对安全的需求转化为真正意义上的安全受益。
亚马逊云科技的安全理念,可谓言必有据:首先,利用云上事件驱动型架构去构建自动化防护栏,而非设立关卡。因为事件驱动型架构,能够建立起一套从威胁检测到事件反应、原因分析机制,从而实现自动化防护将企业的开发团队把更多的时间放在业务创新上。
其次,云中安全源自于响应,更需要主动设计。例如,安全合规一定是基于设计,而不是基于对安全合规事件的后知后觉的响应,安全建设要做到未雨绸缪,四个方面不容小觑:规划预防、检测、响应、修复。
第三则是云中安全必须是一个洋葱型的多层防护,层层递进且丰富全面。
“亚马逊云科技提供了280多种安全及合规的服务及功能,涵盖认证、保护、检测、响应及恢复”。顾凡强调,亚马逊云科技所提供的云安全及合规服务,之所以为洋葱型的多层防护结构,其目的就是要做到全面、立体且层层递进的安全防护:
洋葱模型第一层:威胁检测与事件响应做到精准定位、快速反应、时刻监控,并且能够分析原因。其重点服务包括:Amazon GuardDuty为客户提供了经济高效的智能选项,可持续检测在亚马逊云科技中发生的威胁,实现威胁的精准定位,让报警量减少50%;另外,Amazon Security Hub安全事件统一管理平台,让客户针对威胁检测7×24 小时全天候监控,及时响应,并自动执行合规性检查。
洋葱模型第二层:身份认证与访问控制可以提供涵盖整个亚马逊云科技所有服务和资源的精细访问控制。例如,作为一个高效的身份认证与访问控制服务,Amazon Organizations是可以对一个组织的多账号进行集中管理和治理,建立权限防护机制和数据边界。
洋葱模型第三层:网络与基础设施安全做到了全天候、全托管。例如,Amazon ShieldAdvanced能够为客户提供全天候的保护;Web应用防火墙服务Amazon WAF 提供了丰富的规则库,其包含了亚马逊安全团队自研的全托管规则,客户也可以自定义规则,以及国际一线安全厂商的托管规则。
洋葱模型第四层:数据保护与隐私呈现全生命周期护航能力。亚马逊云科技提供了数据全生命周期的加密服务,对数据的保护涵盖了数据的存储、传输以及使用的各个环节。Amazon KMS密钥管理服务实现存储过程中的加密,其与亚马逊云科技140个服务集成,可以对存储在这些服务中的数据加密。高集成度减少了人工操作,降低了出错的概率。针对数据保密性要求更高的客户,Amazon CloudHSM提供了安全、简单的云上专属加密机。另外,Amazon Nitro Enclaves提供了一个云端的机密计算环境,通过它,客户可以创建一个隔离的环境来处理敏感数据,而无需向他们自己的系统管理员、开发人员和应用程序提供访问权限,从而减少敏感数据处理过程中的攻击面。
洋葱模型第五层:风险管控及合规面面俱到。亚马逊云科技从三个方面帮助用户合规。一是确保亚马逊云科技服务本身的合规性;二是合规方案落地;三是自动化审计。亚马逊云科技的合规认证不仅在基础设施区域,还会深入到每一项云服务,客户部署亚马逊云服务,其合规性能够得到认证机构的认可。
另外,通过Amazon Audit Manager 简化审计管理和合规性评估,Audit Manager可能自动扫描、搜集证据,还提供了各种合规认证的模板,可以简化合规审计的证据收集工作。此外,亚马逊云科技还提供了Amazon Trusted Advisor定制云计算专家、Amazon Security Bulletins安全公告、Amazon Security Documentation云服务配置建议等各种在线工具,将所有的安全合规经验都对客户倾囊相授。
值得一提的是,亚马逊云科技中国(北京)区域和亚马逊云科技中国(宁夏)区域通过独立的第三方机构验证其标准符合能力,已经完成了网络安全等级保护三级测评等。
业界认为,企业要认识到构建云安全战略是一项持续性的工作,云安全需要有自上而下的顶层设计,要以安全为出发点构建云上应用。亚马逊云科技为企业所提供的云安全最佳实践与技术赋能,充分让客户的云安全及合规机制得到了保障。
顾凡总结,亚马逊云科技云上安全合规的五大优势清晰而立体,也同时成为了企业用户选择云安全服务最有力的参照:出色的可见性和控制力;深度集成实现自动化;以最高的安全与隐私保护标准构建;客户可以继承亚马逊云科技全面的安全性与合规性控制;丰富的安全合规合作伙伴。
